OAuth-2.0認証コード付与プロトコルを検討してください。
標準ドラフトhttp://tools.ietf.org/html/ietf-oauth-v2-26で説明されているようにFigure 3 : Authorization Code Flow
、はから受信したものClient
に代わってトークンを取得しています。意図的に間違ったコードをに送信しているとします。(IPまたはホスト名によって)ある程度の期間禁止することにより、取得方法に対してある程度の保護を行う場合。私たちの場合、複数の異なるユーザーからの大量のリクエストを処理することになっている場合、悪意のあるユーザーが1つしかない場合は、すべてのユーザーにサービスを提供することを停止します。Authorization Code
User-Agent
User-Agent
Client
Authorization Server
brute force
Access Token
Client
Redirection URI
Client
User-Agent's
Client
したがって、Client
上記の状況ではボトルネックになります。
====編集済み====ボトルネックの問題を回避する方法はありますか?